2. 程式人生 > >20155304《網絡對抗》Exp4 惡意代碼分析

20155304《網絡對抗》Exp4 惡意代碼分析

阿新 發佈:2018-04-18
tar capture 有趣 ron 惡意軟件 情況 image linux info

20155304《網絡對抗》Exp4 惡意代碼分析

實踐內容

1.系統運行監控

1.1使用schtasks指令監控系統運行

我們在C盤根目錄下建立一個netstatlog.bat的文本文件,然後其中輸入以下的內容:

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

打開命令行,用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令創建一個任務,記錄每隔兩分鐘計算機的聯網情況。

技術分享圖片

技術分享圖片

1.2使用sysmon工具監控系統運行

在c盤創建一個Sysmoncfg.txt文件,然後再文件中輸入老師上課給出的代碼

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</   Signature>
  <Signature condition="contains">windows</ Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</  TargetImage>
  <TargetImage condition="end with">svchost.exe</   TargetImage>
  <TargetImage condition="end with">winlogon.exe</  TargetImage>
  <SourceImage condition="end   with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

配置好文件後用Sysmon.exe -i C:\Sysmoncfg.txt進行安裝

安裝之後,在事件查看器中看相關的日誌

技術分享圖片

事件1

技術分享圖片

事件2

技術分享圖片

事件3

技術分享圖片

2.惡意代碼分析

2.1使用VirusTotal分析惡意軟件

用之前生成的惡意程序,放入https://www.virustotal.com/ 中進行分析

技術分享圖片

2.2使用systracer工具分析惡意軟件

首先下載,之後捕獲快照。

點擊take snapshot來快照,建立4個快照,分別為:

snapshot#1 後門程序啟動前,系統正常狀態

snapshot#2 啟動後門回連Linux

snapshot#3 Linux控制windows查詢目錄

snapshot#4 Linux控制windows在桌面創建一個路徑

先對比下1,2兩種情況:可以看到打開後門後修改了以上兩項註冊表的內容,在應用(Application)——打開端口(Opened Ports)中能看到後門程序回連的IP和端口號。

技術分享圖片

技術分享圖片

技術分享圖片

對比3,4情況:

技術分享圖片

技術分享圖片

技術分享圖片

2.3使用Process Monitor分析惡意軟件

下載軟件

安裝成功,查看監視情況

技術分享圖片

查看進程樹

技術分享圖片

3。實驗後回答問題

(1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。

方法有很多:

使用schtasks指令設置一個計劃任務,每隔一段時間記錄聯網情況,端口情況,註冊表情況。

使用sysmon,配置好想記錄事件的文件,然後查看相應的事件。

一些殺毒軟件也能分析惡意軟件的行為

(2)如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息。

使用systracer,在打開進程前後分別takeshot,對比前後兩張快照課得到進程有哪些行為。

4.實驗總結與體會

這次實踐難度不是很大,但過程比較繁瑣,步驟瑣碎。在此次試驗中我們學會使用了多款軟件來檢查計算機的異常行為和惡意行為,這是一個有趣的過程,做出成果來的每一步都讓自己很有成就感。但在實驗中,自己仍存在許多操作上的不熟練與不足,還需多加學習練習。

20155304《網絡對抗》Exp4 惡意代碼分析

相關推薦

2018-2019 20165208 對抗 Exp4 惡意分析

簽名 svc ESS 簡單 參考 cpu aps odi download 目錄 2018-2019 20165208 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分)

20155304對抗Exp4 惡意分析

tar capture 有趣 ron 惡意軟件 情況 image linux info 20155304《網絡對抗》Exp4 惡意代碼分析 實踐內容 1.系統運行監控 1.1使用schtasks指令監控系統運行 我們在C盤根目錄下建立一個netstatlog.bat的文本文

20155233 《對抗Exp4 惡意分析

使用 strace 指令 實驗 運行 分鐘 mage 命令提示符 sha 使用schtasks指令監控系統運行 先在C盤目錄下建立一個netstatlog.bat文件,用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中,netstatlog.bat內容為:

2017-2018-2 《對抗技術》 20155322 Exp4 惡意分析

msfvenom 密鑰對 想要 ipv 執行 接收 .net 數據 ref [-= 博客目錄 =-] 1-實踐目標 1.1-實踐介紹 1.2-實踐內容 1.3-實踐要求 2-實踐過程 2.1-Mac下網絡監控 2.2-Windows下網絡監控 2.3-Mac下惡意

2018-2019-2 對抗技術 20165303 Exp4 惡意分析

直觀 註冊表 amp 能力 網絡連接 XML image strac 不成功 實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,sys

2018-2019-2 《對抗技術》Exp4 惡意分析 Week6 20165311

9.png network 註冊 錄音 電源 ati 文本處理 pushd 端口開放 2018-2019 20165311 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分) 惡意軟件分析(1.5分) 報告評分(1分) 基礎問題回答

2018-2019-2 20165330《對抗技術》Exp4 惡意分析

h+ port cap 輕量 批處理文件 技術 trac 雙擊 數據流 目錄 基礎問題 相關知識 實驗目的 實驗內容 實驗步驟 實驗過程中遇到的問題 實驗總結與體會 實驗目的 監控你自己系統的運行狀態,看有沒有可疑的程序在運行 分析一個惡意軟件,就分析Exp2或Ex

2018-2019-2 對抗技術 20165206 Exp4 惡意分析

利用 cep 不能 圖片 png 數字 sta 屬性 指導 - 2018-2019-2 網絡對抗技術 20165206 Exp4 惡意代碼分析 - 實驗任務 1系統運行監控(2分) (1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一

2018-2019-2 20162318《對抗技術》Exp4 惡意分析

還需要 網絡 過濾 連接 window rom 註冊 trac 依賴 一、實驗目標 監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件

2018-2019-2 20165215《對抗技術》Exp4 惡意分析

設置 系統管理 功能 www shel 執行 名稱 文件資源管理器 文件的 目錄 實踐目標 實踐內容 基礎問題回答 實驗步驟 使用schtasks指令監控系

20164317《對抗技術》Exp4 惡意分析

調試工具 internal 文件 系統監控 smon jad com 網絡 target 1.實踐目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinter

2018-2019-2 對抗技術 20165210 Exp4 惡意分析

興趣 成了 詳細 使用 計時 hand 方式 不知道 退出 2018-2019-2 網絡對抗技術 20165210 Exp4 惡意代碼分析 一、實驗目標 首先是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 其次是分析一個惡意軟件,就分析Exp2或Exp3中生成後門

2015306 白皎 《攻防》Exp4 惡意分析

minute image 查看 等等 同時 odi 當前 net 技術 2015306 白皎 《網絡攻防》Exp4 惡意代碼分析 netstat 【Mac、Linux、Win】 sysinteral 【MS】:1 2 3 一、系統監控——Windows計劃任務schta

20155334 《攻防》Exp4 惡意分析

計算 log SM 軟件加殼 以及 連接 src \n 三次握手 《網絡攻防》Exp4 惡意代碼分析 一、實驗問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 可以使用工

20154322 楊欽涵 Exp4 惡意分析

reat 鏈接器 signature .org filter 數據包 百度一 地址 alt Exp4 惡意代碼分析 Exp4 惡意代碼分析 一、基礎問題回答 (1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的

20155301 Exp4 惡意分析

數據 所有 對象 方法 病毒 chrome int cer 程序 20155301 Exp4 惡意代碼分析 實踐目標 (1) 是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 (2) 是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令

Exp4 惡意分析

src tst com 退出 動向 roc version kill 進程 Exp4 惡意代碼分析 一、基礎問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 (1)我們可以

20155209林虹宇Exp4 惡意分析

src 方法 shark 配置 查找 scan moni 網信 計劃 Exp4 惡意代碼分析 系統運行監控 使用schtasks指令監控系統運行 新建一個txt文件,然後將txt文件另存為一個bat格式文件 在bat格式文件裏輸入以下信息 然後使用管理員權限打開cmd

20164301 Exp4 惡意分析

tle mil 驅動 分鐘 運行 diff 清除 體會 準備 Exp4 惡意代碼分析 實驗目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysintern

20164322韓玉婷 -----EXP4 惡意分析

計算 exc ldl 。。 應用程序 時間 解壓 不能 水平 1.實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systr